Я запустил UDP-flood, то есть боты стали забрасывать целевой IP-адрес, а, соответственно, и канал сервера, бессмысленными UDP-пакетами разного размера, вытесняя оттуда весь легитимный трафик. На удивление, канал у платежного шлюза Assist’а оказался всего в 10 Мбит, и лег тут же.

Полторы недели Assist увеличивал пропускную способность канала и пытался отфильтровать атаку, привлёк Лабораторию Касперского на помощь. Я несколько раз менял UDP-flood на TCP-flood и обратно, пока Kaspersky пытался отбить атаку. Через полторы недели Kaspersky все-таки смог это сделать окончательно.

У платежного шлюза Assist было несколько входных точек: secure.assist.ru, secure1.assist.ru, secure2.assist.ru и т. д. Когда Assist стал бороться с атакой, они распределили клиентов по разным входным шлюзам, а сами входные шлюзы – по разным серверам. Держать все под DDoS у нас не хватало мощности. Поэтому на второй-третий день возник вопрос.

– Мы не можем держать все их шлюзы под DDoS. Что конкретно класть? – спросил я Scraft.

– Сейчас уточню у Red… Кладите тот, на котором висит «Аэрофлот».

В результате нашей атаки «Аэрофлот» полторы недели не мог принимать оплату за авиабилеты на своем сайте. Периодически не работала оплата Google AdWords и другие клиенты Assist’а.